Оглавление |
---|
Информация | ||
---|---|---|
| ||
|
Введение
В статье описано применение ПО КриптоПро CSP для проверки отсоединенной электронной подписи файлов, т.е. электронной подписи, сохраненной в отдельном файле (далее - подпись). Данная процедура применима для проверки подписи ISO-образов установочных дисков и оперативных обновлений Astra Linux Special Edition. Предполагается, что ПО КриптоПро уже установлено на компьютере. Подробно порядок установки и работы с КриптоПро CSP описан в статьях Работа с КриптоПро CSP и КриптоПро и сервис электронной подписи fly-csp.
Информация |
---|
При проверке подписи может выдаваться предупреждение "Один из сертификатов в цепочке просрочен". Это предупреждение не является критичным и, в случае успешного завершения проверки, говорит о том, что сертификат просрочен на момент выполнения проверки (для достоверности подписи сертификат не должен быть просрочен на момент подписания файла). |
Загрузка файлов
Далее дляИнформация | ||
---|---|---|
Для загрузки файлов с использованием протокола HTTPS требуются пакеты apt-transport-https и пcertificates. В Astra Linux Special Edition РУСБ.10015-01 очередное обновление 1.6 эти пакеты могут быть не установлены по умолчанию, при подключенных репозиториях установить их можно командой:
|
- Пример файла, подписанного ключами УЦ ООО "Сертум-Про" (для подписей, использующихся с 07.12.2021). Для примера используется ISO-образ и подпись оперативного обновления Astra Linux Special Edition РУСБ.10015-01 очередное обновление 1..6 БЮЛЛЕТЕНЬ №
- 20220407SE16MD. При наличии доступа в Интернет загрузить ISO-образ и подпись можно из Интернет-репозитория командами::
Загрузка ISO-образа:
Command wget https://dl.astralinux.ru/astra/stable/smolensk/security-updates/1.6/20220407SE16MD/20220407SE16MD.tar.gz Загрузка подписи:
Command wget https://dl.astralinux.ru/astra/stable/smolensk/security-updates/1.6/20220407SE16MD/20220407SE16MD.tar.gz.sig
Пример файла, подписанного ключами УЦ МО РФ:
Раскрыть title Нажмите чтобы раскрыть... Для примера используется ISO-образ и подпись оперативного обновления
Command |
---|
sudo apt install apt-transport-https ca-certificates |
Astra Linux Special Edition РУСБ.10015-01 очередное обновление 1
..6 БЮЛЛЕТЕНЬ № 20211126SE16 (оперативное обновление 10). При наличии доступа в Интернет загрузить ISO-образ и подпись можно из Интернет-репозитория командами:
Загрузка ISO-образа:
Command wget https://dl.astralinux.ru/astra/stable/smolensk/security-updates/1.6/20211126SE16/20211126SE16.iso Загрузка подписи:
Command wget https://dl.astralinux.ru/astra/stable/smolensk/security-updates/1.6/20211126SE16/20211126SE16.iso.sig
После выполнения указанных команд ISO-образ и подпись будут сохранены в текущем каталоге в файлах 20211126SE16с расширением .iso и 20211126SE16расширением .iso.sig соответственно. Ссылки для загрузки других оперативных обновлений и их подписей доступны в соответствующих бюллетенях, см. Оперативные обновления для Astra Linux Special Edition.
Установка сертификатов УЦ МО РФ
Информация |
---|
Для сертификатовподписей, использующихся с 07.12.2021, отдельная установка сертификатов УЦ для проверки подписи не требуется. |
Раскрыть | ||
---|---|---|
| ||
Для проверки подписи, сделанной с использованием сертификатов УЦ МО РФ ( |
периоды с 01.08.2019 по 31.07.2020 и с 31.07.2020 по 07.12.2021) необходимо добавить в локальное хранилище |
сертификаты головного удостоверяющего центра, выдавшего сертификат, использованный для подписания, и список отозванных сертификатов (CRL). В случае проверки ISO-образов оперативных обновлений Astra Linux Special Edition эти данные доступны по ссылке: Корневые и отозванные сертификаты в разделе Архив сертификатов УЦ МО РФ, Архив квалифицированных сертификатов. Для установки этих сертификатов:
|
|
|
Загрузка и установка сертификата удостоверяющего центра ГУЦ в хранилище mRoot:
|
Загрузка и установка CRL в хранилище mca:
|
Проверка подписи
Проверка подписи выполняется командой /opt/cprocsp/bin/amd64/cryptcp -verify -detached, которую можно использовать в двух вариантах:
Использовать ключ -verall, указывающий, что надо найти всех подписавших, в том числе в сообщении:
stdin -crlДля сертификатов, выданных УЦ МО РФ в период с 01.08.2019 г. по 31.07.2020 г.:
Загрузка и установка сертификата удостоверяющего центра ГУЦ в хранилище mRoot:
wget https://structure.mil.ru/download/doc/morf/military/files/ca2019.cer -O - | sudoCommand Command Title
certmgr -inst -store mRoot -stdin/opt/cprocsp/bin/amd64/ Загрузка и установка CRL в хранилище mca:
wgetCommand cryptcp -verify -detached 20220407SE16MD.tar.gz 20220407SE16MD.tar.gz.sig -f 20220407SE16MD.tar.gz.sig CryptCP 5.0 (c) "КРИПТО-ПРО", 2002-2021.
Утилита командной строки для подписи и шифрования файлов.Будет использован следующий сертификат:
Субъект:"ООО ""РУСБИТЕХ-АСТРА""", Ковшов, Олег Юрьевич, RU, 77 г. Москва, Москва, "Ш ВАРШАВСКОЕ, ДОМ 26, СТР 11", "ООО ""РУСБИТЕХ-АСТРА""", Руководитель отдела, 5167746207459, 13849770106, 772879051017, okovshov@astralinux.ru, 7726388700-772601001-013849770106, 7726388700
Действителен с 07.12.2021 06:54:24 по 07.12.2022 06:57:56Цепочки сертификатов проверены.
Папка './':
20220407SE16MD.tar.gz... Проверка подписи...
Автор подписи: "ООО ""РУСБИТЕХ-АСТРА""", Ковшов, Олег Юрьевич, RU, 77 г. Москва, Москва, "Ш ВАРШАВСКОЕ, ДОМ 26, СТР 11", "ООО ""РУСБИТЕХ-АСТРА""", Руководитель отдела, 5167746207459, 13849770106, 772879051017, okovshov@astralinux.ru, 7726388700-772601001-013849770106, 7726388700
Подпись проверена.
[ErrorCode: 0x00000000]Сообщение "[ErrorCode: 0x00000000]" (завершение с кодом 0) говорит о том, что проверка подписи завершена успешно.
Возможное предупреждение "Один из сертификатов в цепочке просрочен" не является критичным и, в случае успешного завершения проверки, говорит о том, что сертификат просрочен на момент выполнения проверки (для достоверности подписи сертификат не должен быть просрочен на момент подписания файла). Для поиска просроченного сертификата можно использовать команду проверки в режиме вывода отладочной информации (CP_PRINT_CHAIN_DETAIL=1):
https://structure.mil.ru/download/doc/morf/military/files/crl_19.crl -O - | sudoCommand CP_PRINT_CHAIN_DETAIL=1
certmgr/opt/cprocsp/bin/amd64/
instcryptcp -
store mca -stdin -crlverify -
Оба комплекта из сертификата и CRL могут быть установлены одновременно.
Проверка подписи
Проверка подписи выполняется командойverall -detached 20220407SE16MD.tar.gz 20220407SE16MD.tar.gz.sig Явно указать в качестве хранилища сертификатов саму подпись (ключ -f <имя_файла_подписи>):
Command Title /opt/cprocsp/bin/amd64/cryptcp -verify -detached
20220407SE16MD.tar.gz 20220407SE16MD.tar.gz.sig -verall CryptCP 5.0 (c) "КРИПТО-ПРО", 2002-2021.
Утилита командной строки для подписи и шифрования файлов.
Папка './':
20220407SE16MD.tar.gz... Проверка подписи...
Автор подписи: "ООО ""РУСБИТЕХ-АСТРА""", Ковшов, Олег Юрьевич, RU, 77 г. Москва, Москва, "Ш ВАРШАВСКОЕ, ДОМ 26, СТР 11", "ООО ""РУСБИТЕХ-АСТРА""", Руководитель отдела, 5167746207459, 13849770106, 772879051017, okovshov@astralinux.ru, 7726388700-772601001-013849770106, 7726388700
Подпись проверена.
[ErrorCode: 0x00000000]Сообщение "[ErrorCode: 0x00000000]" (завершение с кодом 0) говорит о том, что проверка подписи завершена успешно.
Возможное предупреждение "Один из сертификатов в цепочке просрочен" не является критичным и, в случае успешного завершения проверки, говорит о том, что сертификат просрочен на момент выполнения проверки (для достоверности подписи сертификат не должен быть просрочен на момент подписания файла). В этой форме информация о найденных сертификатах и их состоянии выводится непосредственно в процессе проверки.
Для подписей, использовавшихся до 07.12.2021:
Раскрыть | ||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|
| ||||||||||||
|